交换机加固配置

交换机加固配置

场景介绍

在现网中有各种攻击，而且攻击类型是不断变化的，无法用一种固定的防护方式防御所有攻击，所以需要根据实际的场景变化调整防护方式，下面提供一种使用范围比较广的防护脚本和攻击检测方式，可以防范TTL=1攻击、TCP攻击，并及时发现ARP、DHCP的攻击用户。在检测到具体攻击后再结合[url=mkMSITStore:E:\%E8%B5%84%E6%96%99\%E5%8D%8E%E4%B8%BA\%E5%8D%8E%E4%B8%BAS%E7%B3%BB%E5%88%97%E5%9B%AD%E5%8C%BA%E4%BA%A4%E6%8D%A2%E6%9C%BA%E7%BB%B4%E6%8A%A4%E5%AE%9D%E5%85%B8.chm::/zh-cn_topic_0102629469.html]根据攻击类型部署防攻击手段[/url]章节介绍的防攻击部署方式调整配置进一步加固。

脚本部署

# 现网业务如未使用VLAN1，但接入设备和网关设备上使用的接口未退出VLAN1，存在被攻击或产生风暴的风险。接口退出VLAN1配置如下：

• 接口类型为hybridinterface GigabitEthernet x/x/xundo port hybrid vlan 1
• 接口类型为trunkinterface GigabitEthernet x/x/xport link-type trunkundo port trunk allow-pass vlan 1
• 接口类型为accessinterface GigabitEthernet x/x/xport link-type accessundo port default vlan 1
  
  

#设备防攻击脚本部署

cpu-defend policy io-board           #创建防攻击策略io-boardcar packet-type ttl-expired cir 8    #配置ttl-expired报文的CIR为8kbit/scar packet-type tcp cir 16           #配置tcp报文的CIR为16kbit/sauto-defend enable                   #使能攻击溯源功能auto-defend attack-packet sample 5   #配置攻击溯源的采样比为5auto-defend threshold 30             #配置攻击溯源检查阈值为30ppsundo auto-defend trace-type source-portvlan   #配置攻击溯源的方式为基于源MAC地址和源IP地址undo auto-defend protocol tcp igmp telnet ttl-expired   #在攻击溯源防范的报文类型列表中删除tcp、igmp、telnet和ttl-expired报文auto-defend whitelist 1 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单auto-defend whitelist 2 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单auto-port-defend whitelist 1 interface GigabitEthernet x/x/x  #端口防攻击V200R003版本开始默认使能，互联口和上行口加入白名单auto-port-defend whitelist 2 interface GigabitEthernet x/x/x  #端口防攻击V200R003版本开始默认使能，互联口和上行口加入白名单cpu-defend-policy io-board global   #应用防攻击策略

注意事项

• 上述脚本适用于V200R008版本和V200R008之前版本，V200R009版本以及之后版本攻击溯源功能默认已经使能，不需要特意部署。
• TCP速率是指针对本机VLANIF/Loopback地址的上送CPU速率，不影响具体路由协议的速率，例如BGP等有单独的速率，不受TCP CPCAR缩小的影响。
• ttl-expired基本只用于traceRT功能，含TTL字段的路由协议的报文速率不受ttl-expired参数的影响，只取决于各路由协议的CPCAR。
• 如果用户已经对cpu-defend policy做过配置调整，在配置时不要和用户配置冲突。
  
  

感谢楼主分享，学习一下